InterSec 

シリ■ズについて 


本製品や添付のソフトウエアの特長、導入の際に巧っておいていただきたい事柄について説明します。 


InterSec シリーズとは（一2ページ） . 

Express 5800 / SG 300について（一4ページ) 


InterSec シリーズの紹介と製品の特長-機能じつ 
いて説明しています。 

本製品の機能と特長について説明します。また、 
製品サ ポー トや サービスの 内容についても説明し 
ています。 


添付のディスクじついて（一10ページ) 


本体に添付のディスクの紹介とその説明です。 








InterSec シリーズとは 


r オール-イン-ワン」から「ビルドアップ」へ。 
お客様の運用目的に特化した設計で、必要のないサー 
ビス/機能を省き、セキュリティホールの可能性を低減 
し、インターネットおよびイントラネットの構築時に 
不可欠なセ羊ュリティについて考慮して設計されたイ 
ンターネットセキュリティ製品です。 



□ードバランヴ ) 



1台のラックにそれぞれの機能を持つ装置を搭 
載(卓上設置も可能、またクラスタ構成可能） 


InterSec シリーズの主な特長と利点は次のとおりです。 

• 省スぺース 

設置 スペースを 最ル限に抑えたコンパクトな崖体を探用。 

• 運用性 

運用を容易にする管理ツール。 

• クイックスタート 

ウィザード形式の専用設をツールを標準装備。短時間でセットアップを完了します。 

• 高い拡張性 

専用機として、機能ごとに単体ユニットで動作させているために用途に応じた機能拡張が容易に可能で 
す。また、複数ユニットでクラスタ構成にすることによりシステムを拡張していくことができます。 

参コストパフオーマンスの向上 

運用目的への最適なチューニングが行えるため、単機能の動作において高い性能を痛保できます。ま 
た、単機能動作に必要な環境のみ提供できるため、余剰スペックがなく低コスト化が実現されます。 

• 管理の容易性 

環境設をや運用時における管理情報など、単機能が動作するに必要な設定のみです。そのため、導入- 
運用管理が容易に行えます。 
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InterSec シリーズには、目的や用途に応じて次のモデルが用意されています。 

♦ SG シリーズ（ファイアウォール） 

インターネットと接続した中小規模の企業ネットワークを外部からの不正なアクセスから守るファイア 
ウォール専用機です。 

♦ FW シリーズ（ファイアウォール） 

Checkpoint Firewall - 1を搭載し、高度なアクセス制御が可能な、大中規模の企業ネットワーク向けの 
ファイアウォール専用機です。 

♦ LB シリーズ（□ー ドバランヴ） 

サーバへのアクセスを分散し、レスポンスと可用性の向上を行う装置です。 

♦ MW シリーズ(メール/ WEB ) 

Web や FTP のサービスやインターネットを利用した電子メールの送受信や制御などインターネットで 
必要となるサービスを提供する装置です。 

♦ CS シリーズ(プ□キシ） 

Web アクセス要求におけるプ□キシでのヒット率の向上（フォワードプ□羊シ）、 Web サーバの負荷軽 
減-コンテンツ保護（リバースプ□车シ）を目的とした装置です。 

♦ VC シリーズ(ウィルスチェック） 

インターネット経由で受け渡しされるファイル屬子メール添付のファイルや Web / FTP でダウン □- 
ドしたファイル）からを種ウィルスを橫化/除去し、オフィスへのウィルス侵入、外部へのウィルス流 
化を防ぐことを目的とした装置です。 


Intersmo シリ—ズについて 
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Express 已 800 /SG 300 について 

本装置の概略と運用に必要な情報を記します。 



Express 5800 / SG 300は、 NEC 独自のファイアウォールエンジンを搭載し、 Virtual Private 
Network ( VPN ) 機能、ホスト型 IDS 機能を装備したセ丰ュリティアプライアンス機器です。 
内部ネットワーク(社内 LAN など)と外部ネットワーク（インターネットなど)との間のアクセ 
スを制御し、外部からの不正な侵入を防ぎます。さらに、 VPN 機能による通信の暗号化や 
ユーザ認証などを使って、インターネットなどの公衆のネットワーク上に、仮想的なユーザ 
専用のネットワークを実現することを可能にします。 

設を-運用-管理を Management Corisole(WE 目べース GUI ) に集約することで容易で迅速 
な導入を実現し、設置したその日から安全なネットワーク環境を提供します。 



Express 5800 / SG 300 が提供するファイアウォールの特徴は次のとおりです。 

• アクセス制御 

ステートフルインスペクション（通信を行うときだけ必要なポートを開く機能）により、 
高度なアクセス制御を可能とし、ユーザのセキュリティポリシに沿ったセ羊ユアなネッ 
トワークを実現します。 


4 
































• アドレス変換機能 ( NAT / NAPT ) 

外部ネットワークと内部ネットワークとのネ目互通信を可能とするため、アドレス変換機 
能を実現しています。 

• 通信量制限機能 

ネットワークインターフェースごとに、通過するパケ、ソトの総量を制限することが巧肯层 
です。これにより、アクセス過多によるサーバをダウンさせる DoS(Demal of 
Services ) - DDoS(Distributed Denial of Services ) などの攻撃が行われた場合にも、パ 
ケット量を制限し、サーバがダウンすることを防止します。 

• 不正アクセス対策 

ーオートディフェンス機能 

攻撃者は、ウェブサーバやメールサーバの持つ脆弱性をついた攻撃を行う前に、ど 
のサーバでどのサービスが稼動しているか事前に調査(ポートス羊ヤン）しますが、 
Express 5800 / SG 300 ではその事前調査活動を横化し、あたかもウェブサーバや 
メールサーバが数多く存在するかのように応答し、実際にサービスが稼動している 
サーバの発見を困難にさせることが巧能です。さらに横化後、そのホストからのア 
クセスを一を時間すベて破棄します。 

ーステルススキヤン橫化機能 

ステルスス车ヤンはポートス车ヤンと同様に、不正侵入のための前準備として行わ 
れます。通常□グなどに形跡を残さないためその発見が困難となります。 Ex ¬ 
press 5800 / SG 300 では、 ステルスス羊ヤン特有の正常でない通信を橫化し、該当 
パケットの破棄と□グを化力することが巧能です。 

— Ping Sweep 対策機能 

不正侵入のための前準備として、どのようなホストが稼動しているか調査するため 
に、 Ping Sweep などが行われます。 Ping Sweep は、ある範囲の IP アドレス宛に 
ping を送化し、応答を磕認することで、ホストの存在を調査するものです。 Ex ¬ 
press 5800 / SG 300 では、 Ping Sweep をお出)し、該当パケットの破棄と□グを出) 
力することが巧能です。 

- SYN Flood 対策機能 

SYN 円 ood は、 DoS 攻撃の一種で、サーパのリソースを消費し、サービスの提供を 
できなくする攻撃です。 Express 5800 / SG 300では、 SYN 円 ood 攻撃をお出)し□グ 
を化力します。この機能により、ターゲットとなったホストを守ることが巧能です。 

一 IP Spoofing 対策機能 

IP Spoofing は、パケットの発信元を詐称する手まです。不正なアクセスを、あたか 
も内部からの許可されたアクセスであるかのようじ見せかけ、内部ホストに対する 
攻撃を可能にします。 Express 5800 / SG 300では、ルーティング情報などを元に IP 
Spoofing を横化し、該当パケットの破棄と□グを化力することが巧能です。 


Intersmo シリ—ズについて 
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— traceroute ステルス機能 

あるホストまでの経路や時間を確認するために一般的に使われる traceroute コマン 
ドじより、経路の途中にファイアウォールが存在することを磕認できます。 Ex ¬ 
press 5800 / SG 300 では、 t 「 ace 「 oute 〕7> ドに対してもその存在を隠すことが巧 
能です。これにより、悪意を持ったクライアントから、攻撃の対象となる可能性を 
低減し自分自身ち守ることが巧能です。 

ユーザ管理機能 

あらかじめ定められたユーザに対してのみに、ファイアウォール機能によって守られた 
サービスを公開するため、その許可されたユーザ情報の管理、およびファイアウォール 
を通過するためのユーザ認証を行います。 

URL フィルタリング機能 

あらかじめ URL を設をしておくことで、その Web サイトへのアクセスを制限できます。 
これによりインターネット上の好ましくない Web サイトや業務に関係無い Web サイトへ 
のアクセスをブ□ックし、教育環境-作業効率の向上が見込めます。 

VPN 機能 

VPN とは、インターネットのような公衆のネットワーク上に、仮想的なユーザ専用の 
ネットワークを実現する仕組みです。これにより、公衆ネットワーク上で起こりうる、 
通信の盗聴-改ざん-なりすましなどの危険性を排除することが巧能です。 
Express 5800 / SG 300 では、通信ネ目手との LAN 闇接続 VPN を構築することが巧能であ 
り、安価に VPN 網を実現し、セ车ュアな通信環境を実現できます。 

Manag 白 m 巨 nt Gonsol 白 

基本的なネットワークの設定から、ファイアウォールのセ丰ュリティポリシの設定まで 
行うことのできる、統一されたウェブブラウザベースのユーザインターフェースです。 

導入の容易性 

初期導入設定ツール、基本設定!ツール 、 Management Console (かんたん設定/詳細設 
定)により、ファイアウォールなどを扱った経験の浅いユーザでち簡単に導入、運用を開 
始することができます。また、ネットワークインターフェースを4ポート装備しているの 
で、八ードウェアの追力□購入をすることなく DMZ の構築が巧能です。 

ホットスタンバイ構成び可能 

二重化機能を標準でサポートしています。 SG 300 を2台使用することでホ、ソトスタンバ 
イ運用を実現し、可用性を高めます。 



ライセン スキー 


本製品を利用するためには、 ライセンス羊 一の入手が必要となります。 ライセンス羊 一を入 
手するためには、製品に同捆されている ライセンス 申請書に情報をご記入の上、 ライセンス 
申請書に記載された宛先まで送付してください。約5営業日程度で e - mail じて ライセンスキー 
を通知いたします。通知された ライセンス车 一は重要な情報ですので、大切に保管してくだ 
ぎい。 

ライセンス羊 一は、 サポートサービス 製品を購入いただき、 サポートサービス 申請をしてい 
ただ< 際にも必要な情報となります。 



アサポートサービス 


Express 5800 / SG 300のソフトウエアおよび OS をサポートするためには W 下の製品の購入 
が必須となります。 

Exp 日 8 /SG (1 年間）ソフトウェアサボートサービス 


• サービス 内容 

Express 5800 / SG 300のソフトウェアおよび OS について、お客様(担当の NEC 営業 / SE 
を含む)からの電話、電子メールおよび FAX による間い合わせを行うことができます。 

また、インターネットを利用して、ソフトウェアおよび OS を利用可能な最新の状態へ無 
償でアップデートすることができます。 


I —"0 • A - ドウエア関ずるサービスは別途製品を手配いただく必要びあります。 

• ソフトウエアサポートサービスはオンサイトサービスを含んでおりません。 

サービス 有効期間 

ユーザ登録完了後、1年間です。 

ソフトウエアサポートサービスをご利用いただくには、初年度分からサポートサービス 
製品を手配していただく必要があります。 

また、サービス有効期闇終了後も継続してサービスを受けるためじは、サポートサービ 
ス製品を再度ご購入いただく必要があります。 

サービス 受付時間 

弊社の営業日のうち、 AM 9:00〜 AM 12:00- PM 1: 00〜 PM 5:00 です。 

問い合わせ窓□のご案内 

お客様の登録が完了され次第、ご案内します。 


Interseo シリ—ズについて 
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問い合わせヴポート節囲 

Express 5800 / SG 300にあらかじめインストールされているソフトウェアおよび添がさ 
れている NEC 製のソフトウェアじついてのお問い合わせじ対応いたします。お客様の都 
合により、ソフトウェアを追力□または変更した場合、本サービスの対象かとなります。 

サービス 開始手続き 

サポートサービス製品に同捆されている r ソフトウェアサポートサービス申請書」じ必要 
事項をご記入の上、 Fax にて送がしてください。申請書にはライセンス羊一およびサービ 
ス開始希望日を記入する欄などがあります。すべての項目がサービスを開始するにあた 
り必要な情報ですので漏れな < ご記入< ださい。 

お客様登録完了後、 Express 5800 / SG 300 にお入するサポート羊一および登録完了のお 
知らせが送付されます。 

两"〇 サポートサービスをご発まいただいてか5お客様への導入時までのサービスは r 暫定ヴ 
ポートサービス」としてサービスを提供させていただをます。ただし、暫定サポート 
サービス提供期間は最長3力月とさせていただをます。 

「ソフトウェアサボートサービス申請書」はお客様ごとに異なったものとなっており、複 
写しての使用はでをません。 

暫定ヴポートサービス 

サポートサービス製品購入日から、ソフトウェアサポートサービス申請書にご記入いた 
だいたサービス開始希望日までの間、暫をサポートサービスとして対応いたします。た 
だし、最長3力月を限度として、技術的な Q & A を提供します。 

サービス 継続手続き 

サービス有効期間 （1 年間)終了後もサービスを継続するためには、新規にサポートサービ 
ス製品を購入する必要があります。 

また、継続のためにサポートサービス製品を購入いただいた場合には、サービス有効期 
間終了時にさかのぼって開始されます。前回の有効期間が切れる前にサポートサービス 
の購入を行ってください。 




注意-制限事項 


W 下に示すを意-制限事項を磕認の上、本装置を取り扱ってください。 

• ソフトウェアアップデート機能を使用するには、ソフトウェアサポートサービスを購入 
し、有効なサポートキーを本製品に投入済みであることが必要です。 

• ソフトウェアのアップデートを行うことで、設定画面等が本書の内容と異なる場合があ 
ります。その場合の操作方まについてはアップデート後の Management Console のへル 
プを参照してください。 

• ユーザ認証の要求経路じよって適用するルールを動的に変更することはできません。 

• 設を管理用にブラウザの利用できる環境が必要です。 U 下のブラウザを推奨します。 

Microsoft Internet Explorer 6.0 SP 2( 日本語版- Windows 版） 

• ユーザ認証を行うには、ブラウザの利用できる環境が必要です。 W 下のブラウザを推奨 
します。 

Microsoft Internet Explorer 6.0 SP 2( 日本語版- Windows 版） 

• ユーザ認証時に、ユーザが利用している端末と本製品との間にソースアドレスを置き換 
えるゲートウェイが設置されている場合、そのゲートウェイを越えての認証はできませ 
ん。 

• システムの基本設定(インタフェースアドレス、ルーティング情報など)じついては必ず 
Management Console の「基本設走:」で行うか、またはシリアル〕ンソールから sgsetup 
コマンドを実行して変更してください。 

• マルチ羊ャスト通信には対応していません。 

• リモートアクセス VPN にはいくつかの制限事項があります。詳細については弊社営業担 
当または SE までお問い合わせください。 

• VPN 通信を行うネットワークの途中にアドレス変換 ( NAT / NAPT ) を行う機器があると 
VPN 通信は行えません。 

• 二重化構成でフェイルオーバが発生した場合、接続されていたセッションは切断されま 
す。 


Interseo シリ—ズについて 
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添付のディスクについて 

本装置にはセットアップや保守-管理の際に使用する CD - ROM やフ□、ソピーディスクが添付されていま 
す。ここでは、これらのディスクじ格納されているソフトウェアやディスクの用途じついて説明します。 

I M-O 添付のフ□ッピーディスクや CD - ROM は、システムの設定が完了した後でも、システムの 
再インス I ルやシステムの保守-管理の際に使用する場合びありまず。なくさないように 
大切に保管しておいてください。 


• バックアップ CD-ROM 

システムのバックアップとなる CD - ROM です。 

バックアップ CD - ROM には、システムのセットアップに必要なソフトウエアやを種モジュールの他に 
システムの管理-監視をするためのき用のアプリケーション^ ESMPRO / Se 「 ve 「 Age ^ lt 」と「エクスプレ 
ス通報サービス」が格納されています。システムに備わった RAS 機能を十分に発揮させるためにぜひお 
使いください。 ESMPRO / ServerAgent の詳細な説明はバックアップ CD - ROM 内のオンラインド羊ュ 
メントをご覧ください。エクスプレス通報サービスを使用するには別途契約が必要です。お買い求め 
の販売店または保守サービス会社にお問い合わせ<ださい。 

• EXPRESSBUILDER ( SE ) CD-ROM 

本体およびシステムの保守-管理の際に使用する CD - ROM です。 

この CD - ROM には次のようなソフトウエアが格納されています。 

- EXPRESS 巨 UILDER ( SE ) 

再セットアップの際に装置の維持-管理を行うためのユーティリティを格納するためのパーティ 
ション(保守パーティション）を作成したり、システム診断やオフライン保守ユーティリティなどの 
保守ツールを起動したりするときに使用します。詳細は5章を参照してください。 

— DianaScope 

システムが立ち上がらないようなときに、リモート ( LAN 接続または RS -232 C ケーブルによるダイ 
レクト接続)で管理 PC から本装置を管理する時に使用するソフトウエアです。詳細は5章を参照し 
てください。 

— ESMPRO/ServerManager 

ESMPRO / ServerAgent がインストールされたコンピュータを管理します。詳細は 
EXPRESS 目 UILDER ( SE ) CD - ROM 内のオンラインド羊ュメントを参照してください。 

• 初期導入設定用ディスク（フ□ッピーディスク） 

Express 5800 / SG 300の初期導入時の設定をするためのフ□、ソピーディスクです。 
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